gestÃo da seguranÇa da informaÇÃo: fatores que influenciam sua adoção em pmes universidade...
Post on 21-Apr-2015
106 Views
Preview:
TRANSCRIPT
GESTÃO DA SEGURANÇA GESTÃO DA SEGURANÇA DA INFORMAÇÃO:DA INFORMAÇÃO:fatores que influenciam fatores que influenciam sua adoção em PMEssua adoção em PMEs
Universidade Municipal de São Caetano do SulPrograma de Mestrado em Administração
Mestrando: Abner NettoOrientador: Prof. Dr. Marco Pinheiro
ORIGEM DO ESTUDOORIGEM DO ESTUDO
• Expansão da microinformática
• Alto valor da informação armazenada
• Concentração das informações
• Dependência de TI
• Internet de uso público
• Garantia de continuidade do negócio
PROBLEMATIZAÇÃOPROBLEMATIZAÇÃO
Que fatores são capazes de influenciar a adoção da Gestão da Segurança da Informação por pequenas e médias empresas?
OBJETIVOOBJETIVO
Verificar em que medida as pequenas e médias empresas realizam gestão da segurança da informação;
Identificar fatores que influenciam pequenas e médias empresas a adotarem medidas de gestão da segurança da informação.
JUSTIFICATIVAJUSTIFICATIVA
• Pouca literatura encontrada referente a adoção da gestão da segurança da informação
• Fornecer resultados que ajudem a melhor compreender:• o valor das informações empresariais• os riscos e ameaças• o impacto nos negócios• os fatores motivadores ou inibidores relacionados
a sua adoção.• Crescimento do número de incidentes
DELIMITAÇÃO DO ESTUDODELIMITAÇÃO DO ESTUDO
Pequenas e Médias Empresas (PMEs) industriais presentes na região do Grande ABC
Definição usada para PMEs:Pequena – 10 a 99 empregados
Média – 100 a 499 empregados
REFERENCIAL TÉORICOREFERENCIAL TÉORICO
Segurança da informação é o processo de proteção da informação das ameaças a sua (Sêmola, 2003; Beal, 2005):
IntegridadeDisponibilidadeConfidencialidade
O bem mais valioso de uma empresa são as informações relacionadas com os bens de consumo ou serviços prestados pela mesma. (Caruso e Steffen, 1999; Fontes, 2006).
GERENCIAMENTO DO RISCOGERENCIAMENTO DO RISCO
RISCO = VULNERABILIDADES x AMEAÇAS x IMPACTOSMEDIDAS DE SEGURANÇA
Sêmola (2003)
MÉTODOS DETECTIVOS
MEDIDAS REATIVAS
EXPÕEM
DESENCADEIAM
REDUZEM
AMEAÇA + VULNERABILIDADE ATAQUE INCIDENTE IMPACTO
Erro humano Desastres naturais Fraude Invasão, espionagem etc.
Pessoal mal treinado Instalações desprotegidas Controles inadequados etc.
Invasão Acesso indevido Inserção incorreta de dados etc.
Destruição de dados Perda de integridade Divulgação indevida Quebra de equipamentos etc.
Prejuízo financeiro Prejuízo para a imagem Perda de eficiência etc.
MEDIDAS PREVENTIVAS
REDUZEM
Beal (2005)
CAMADAS DE SEGURANÇACAMADAS DE SEGURANÇA
FÍSICA
LÓGICA
HUMANA
Adachi (2004)
NORMAS DE SEGURANÇANORMAS DE SEGURANÇA
COBIT
NBR ISO/IEC 17799:2005Define 127 controles que compõem o escopo do SGSI em suas 11 seções:
Política de Segurança, Organização da Segurança, Gestão de Ativos, Segurança em RH, etc.
NBR ISO/IEC 27001:2006
TI EM PEQUENAS E MÉDIAS TI EM PEQUENAS E MÉDIAS EMPRESASEMPRESAS
PMEs possuem menores recursos financeiros e humanos
Foco atual de fornecedores de TI
Responsável pelo sucesso das organizações
“Mal necessário” (Leite apud Lunardi e Dolci)
Velocidade das operações e redução do custo (Prates e Ospina)
FATORES INFLUENCIADORES FATORES INFLUENCIADORES PARA ADOÇÃO DE TIPARA ADOÇÃO DE TI
Motivadores:Alta participação de especialista externo (Cragg e King, Thong apud Prates e Ospina)Características do proprietário (Palvia e Palvia)Melhoria do controles organizacionais (Prates e Ospina)Redução de custos (Prates e Ospina)Economia de tempo e esforço (Cragg e King)Pressões externas (Lunardi e Dolci)Ambiente organizacional favorável
FATORES INFLUENCIADORES FATORES INFLUENCIADORES PARA ADOÇÃO DE TIPARA ADOÇÃO DE TI
Inibidores:Resistência dos funcionários (Prates e Ospina)Falta de conhecimento de S.I. (Cragg e King)Tempo dos gerentes na implantaçãoAnálise informal de custo/benefícioRestrição quanto ao aconselhamento técnico
FATORES INFLUENCIADORES FATORES INFLUENCIADORES PARA ADOÇÃO DE GSIPARA ADOÇÃO DE GSI
Incidentes de segurança anteriores (Gupta e Hammond, 2004)
Tamanho do parque de informática (Gabbay, 2003)
Frequência dos ataques sofridos (Gabbay, 2003)
METODOLOGIAMETODOLOGIATipo de pesquisa: exploratória-descritiva
Procedimento técnico: levantamento
População: 1348 indústrias, sendo selecionadas 256 indústrias de fabricação de produtos de metal, exclusive máquinas e equipamentos
Amostra: 43 indústrias
Sujeitos: gestores responsáveis por aprovar investimentos em gestão da segurança da informação ou em TI
Instrumentos: entrevistas, questionário
Coleta de dados: telefonema, e-mail
Análise dos resultados: estatística descritiva
ENTREVISTASENTREVISTAS• Perfil do Gestor
• Não se mantêm informados sobre a área• Perfil da Empresa
• Enfrentaram incidentes de segurança: vírus, parada rede/servidor, furto de informações
• Valor da Informação e Análise de Risco• A maioria dos gestores alegaram preocupação com as
informações armazenadas em TI• Alguns gestores alegaram que o principal risco são os
funcionários• Ferramentas e Técnicas de Defesas
• Antivirus, Backup, Firewall• Fatores
• Orientação de um especialista externo• Importância da relação custo/benefício do investimento• Incidentes anteriores
QUESTIONÁRIOQUESTIONÁRIO
Grupo deVariáveis
O que se pretende investigar Qtde Questões
Exemplos deQuestões
Perfil do Gestor
Identificação do responsável pelos investimentos em TI / GSI
4 e-mail, cargo, departamento, decisão de compra
Identificação da Empresa
Identificação da empresa e do parque de informática, nível de utilização dos recursos de TI
4 número de funcionários, qtde de computadores, responsabilidade pela área de TI
Ferramentas e Técnicas
Importância das ferramentas e técnicas de gestão da Segurança da Informação
20 na sua empresa qual o grau de importância do uso do firewall, antivirus etc.
Fatores Questiona sobre os fatores motivadores ou inibidores para adoção da gestão da Segurança da Informação
8 recomendação de um especialista externo ou fornecedor da área
TOTAL DE QUESTÕES 36
ANÁLISE E DISCUSSÃO ANÁLISE E DISCUSSÃO DOS RESULTADOSDOS RESULTADOS
pesquisa realizada entre os meses de fevereiro em março de 2007
165 empresas aceitaram participar, porém somente 43 responderam ao questionário
Decisão de Compra
a decisão é minha47%
não participa2%
participa do processo
51%
AMOSTRAAMOSTRA
Departamento
finanças9%
tecnologia da informação21%
engenharia5% recursos humanos
7%
qualidade5%
suprimentos5%
comercial (vendas)7%
presidência/gerência geral41%
Cargo
sócio-proprietário42%
diretor16%
gerente14%
supervisor12%
analista16%
AMOSTRAAMOSTRANúmero de Empregados
1 a 95%
10 a 4948%
50 a 9933%
100 a 49914%
acima de 5000%
Qtde de Computadores
menos de 521% 5 a 10
21%
de 10 a 2028%
de 201 a 5002%
de 21 a 10023%
de 101 a 2005%
acima de 5000%
Responsabilidade da Área de TI
departamento interno
56%
terceiro com contrato
23%
terceiro com chamados eventuais
21%
AMOSTRAAMOSTRA
Nível de Informatização
nível baixo7%
nível médio65%
nível alto28%
Ferramentas e Técnicas - Camada Física
0
5
10
15
20
25
30
35
40
Antiv
írus
Sist
ema
de b
acku
p
Equi
pam
ento
par
apr
oteç
ão d
e fa
lhas
na
ener
gia
elét
rica Fi
rewa
ll
Nom
e de
usu
ário
,se
nha
indi
vidua
l ese
cret
a pa
ra a
cess
o a
rede
Sala
de
serv
idor
espr
oteg
ida
e em
loca
lre
strit
o
Cana
is de
com
unica
ção
para
regi
stro
de
even
tos
de s
egur
ança
Desc
arte
seg
uro
dam
ídia
rem
ovív
el
Mon
itora
men
to e
anál
ise c
rítica
dos
regi
stro
s (lo
gs)
Possui Não possui
Ferramentas e Técnicas - Camada Lógica
0
5
10
15
20
25
30
35
40
Atua
lizaç
ão d
eso
ftwar
e pa
raco
rreçã
o de
falh
asde
seg
uran
ça
Crip
togr
afia
em
banc
o de
dad
ose/
ou p
ara
troca
de
info
rmaç
ões
Supe
rvis
ão d
ode
senv
olvi
men
tote
rcei
rizad
o de
softw
are
com
requ
isito
s pa
raco
ntro
les
dese
gura
nça
dain
form
ação
Possui Não Possui
Ferramentas e Técnicas - Camada Humana
0
5
10
15
20
25
30
35
40
Reg
ras
para
uso
da
info
rmaç
ão e
dos
recu
rsos
de
TI
Con
trole
dos
dire
itos
depr
oprie
dade
inte
lect
ual
Avis
o ao
s us
uário
sso
bre
om
onito
ram
ento
dos
recu
rsos
de
TI
Polít
ica
dese
gura
nça
dain
form
ação
Cla
ssifi
caçã
o da
info
rmaç
ão
Con
trato
s co
mte
rcei
ros
com
term
os c
laro
sre
lativ
os a
segu
ranç
a
Plan
o de
recu
pera
ção
dede
sast
res
eco
ntin
gênc
ia
Con
scie
ntiz
ação
,ed
ucaç
ão e
trein
amen
to e
mse
gura
nça
Possui Não Possui
Grau de Importância dasFerramentas e Técnicas para Gestão da Segurança
2,4 2,6 2,8 3,0 3,2 3,4 3,6 3,8 4,0 4,2 4,4 4,6 4,8 5,0
Antivírus
Sistema de backup
Firewall
Equipamento para proteção de falhas na energia elétrica
Regras para uso da informação e dos recursos de TI
Nome de usuário, senha individual e secreta para acesso a rede
Atualização de software para correção de falhas de segurança
Controle dos direitos de propriedade intelectual
Aviso aos usuários sobre o monitoramento dos recursos de TI
Contratos com terceiros com termos claros relativos a segurança
Política de segurança da informação
Classificação da informação
Sala de servidores protegida e em local restrito
Criptografia em banco de dados e/ou para troca de informações
Monitoramento e análise crítica dos registros (logs)
Descarte seguro da mídia removível
Conscientização, educação e treinamento em segurança
Plano de recuperação de desastres e contingência
Canais de comunicação para registro de eventos de segurança
Supervisão do desenvolvimento terceirizado de software comrequisitos para controles de segurança da informação
SEGURANÇA 3 CAMADASSEGURANÇA 3 CAMADAS
Avaliação de Segurança nas Três Camadas
satisfatório59%
insatisfatório41%
Ferramentas/Técnicas Instaladas
0%
20%
40%
60%
80%
100%
Po
rcen
tag
em
médias empresas pequenas empresas
SEGURANÇA 3 CAMADASSEGURANÇA 3 CAMADAS
19
516
1
pequena média
insatisfatório
satisfatório
Avaliação de Segurança nas Três Camadas por Porte
ADERÊNCIA ISO 17799ADERÊNCIA ISO 17799Seção da Norma Ferramenta ou Técnica Pesquisada Média Porcentagem
Política de Segurança da Informação Política de segurança da informação 3,24 46%
Organizando a Segurança da Informação
Contratos com terceiros com termos claros relativos à segurança
3,32 44%
Regras para uso da informação e dos recursos de TI
3,68 Gestão de Ativos
Classificação da informação 3,17 55%
Segurança em Recursos Humanos
Conscientização, educação e treinamento em segurança
2,95 37%
Equipamento para proteção de falhas na energia elétrica
3,73 Segurança Física e do Ambiente Sala de servidores protegida e em local
restrito 3,15
63%
Antivírus 4,56
Sistema de backup 4,46
Firewall 4,29
Descarte seguro da mídia removível 3,07
Gestão das Operações e Comunicações
Monitoramento e análise crítica dos registros (logs)
3,07
68%
Controle de Acesso Nome de usuário, senha individual e secreta para acesso à rede
3,68 80%
Atualização de software para correção de falhas de segurança
3,56
Criptografia em banco de dados e/ou para troca de informações
3,10 Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação Supervisão do desenvolvimento
terceirizado de software com requisitos para controles de segurança da informação
2,80
47%
FATORESFATORES
Amostra Fatores
média erro amostral
limite superior
limite inferior
especialista externo 3,51 1,12 0,35 3,87 3,16
incidente anterior 3,34 1,24 0,39 3,73 2,95
consciência do gestor 3,63 1,13 0,36 3,99 3,28
mo
tiv
ad
ore
s
evitar perdas financeiras
4,37 0,83 0,26 4,63 4,10
valor do investimento 3,66 1,13 0,36 4,02 3,30
relação custo/ benefício 3,37 1,13 0,36 3,72 3,01
falta de conhecimento 3,71 1,15 0,36 4,07 3,35
inib
ido
res
cultura organizacional 3,66 1,02 0,32 3,98 3,34
FATORESFATORES
Fatores Motivadores
1,0
1,5
2,0
2,5
3,0
3,5
4,0
4,5
5,0
recomendação especialistaexterno
incidente anterior consciência do gestor evitar perdas financeiras
Fatores Inibidores
1,0
1,5
2,0
2,5
3,0
3,5
4,0
4,5
5,0
valor do investimento dificuldades em mensurarcusto/benefício
falta de conhecimento cultura organizacional
ÁREA DE TI INTERNAÁREA DE TI INTERNA
Fatores Motivadores - Área de TI Interna
1,0
1,5
2,0
2,5
3,0
3,5
4,0
4,5
5,0
recomendaçãoespecialista externo
incidente anterior consciência do gestor evitar perdas financeiras
amostra total
TI interna
Fatores Inibidores - Área de TI Interna
1,0
1,5
2,0
2,5
3,0
3,5
4,0
4,5
5,0
valor do investimento dificuldades emmensurar o
custo/benefício
falta de conhecimento cultura organizacional
amostra total
TI interna
TAMANHO DA EMPRESATAMANHO DA EMPRESA
Fatores Motivadores - Tamanho da Empresa
1,0
1,5
2,0
2,5
3,0
3,5
4,0
4,5
5,0
recomendaçãoespecialista externo
incidente anterior consciência do gestor evitar perdas financeiras
amostra total
pequena empresa
média empresa
Fatores Inibidores - Tamanho da Empresa
1,0
1,5
2,0
2,5
3,0
3,5
4,0
4,5
5,0
valor do investimento dificuldades emmensurar o
custo/benefício
falta de conhecimento cultura organizacional
amostra total
pequena empresa
média empresa
QTDE COMPUTADORESQTDE COMPUTADORES
Fatores Motivadores - Quantidade de Computadores
1,0
1,5
2,0
2,5
3,0
3,5
4,0
4,5
5,0
recomendaçãoespecialista externo
incidente anterior consciência do gestor evitar perdas financeiras
amostra total
até 10 micros
de 11 a 20 micros
acima de 20 micros
Fatores Inibidores - Quantidade de Computadores
1,0
1,5
2,0
2,5
3,0
3,5
4,0
4,5
5,0
valor do investimento dificuldades emmensurar o
custo/benefício
falta de conhecimento cultura organizacional
amostra total
até 10 micros
de 11 a 20 micros
acima de 20 micros
NÍVEL DE INFORMATIZAÇÃONÍVEL DE INFORMATIZAÇÃO
Fatores Motivadores - Nível de Informatização
1,0
1,5
2,0
2,5
3,0
3,5
4,0
4,5
5,0
recomendaçãoespecialista externo
incidente anterior consciência do gestor evitar perdas financeiras
amostra total
baixo
médio
alto
Fatores Inibidores - - Nível de Informatização
1,0
1,5
2,0
2,5
3,0
3,5
4,0
4,5
5,0
valor do investimento dificuldades emmensurar o
custo/benefício
falta de conhecimento cultura organizacional
amostra total
baixo
médio
alto
CONCLUSÃO - MOTIVADORESCONCLUSÃO - MOTIVADORES
• Evitar perdas financeiras foi o fator motivador para adoção de gestão da segurança da informação apontado em todas as análises, porém se mostrou como uma escolha óbvia.
• Outros dois fatores merecem atenção, em ordem:• Consciência do próprio gestor, pois mostrou-se
importante nas análises:• área de TI interna• tamanho da empresa• quantidade de computadores (de 11 a 20 e acima de 20)• análise nível de informatização dos negócios (nível
médio e alto);• Recomendação de um especialista externo mostrou-se
importante quando analisadas as empresas com:• até 10 micros• nível de informatização dos negócios baixo.
CONCLUSÃO - INIBIDORESCONCLUSÃO - INIBIDORES
• Falta de conhecimento do gestor foi o principal fator inibidor da adoção de gestão da segurança da informação na análise da amostra geral e na análise por quantidade de computadores;
• Outros dois fatores merecem atenção, em ordem:• O fator valor do investimento teve a maior média quando
analisado por:• existência de uma área de TI interna;• tamanho da empresa (média);• nível de informatização dos negócios (alto).
• O fator cultura organizacional teve a maior média e menor desvio padrão quando analisado:
• o tamanho da empresa (pequena);• o nível de informatização dos negócios (médio).
CONCLUSÃO – ISO 17799CONCLUSÃO – ISO 17799
• Das empresas pesquisadas, 80% possuem pelo menos um controle em cada uma das camadas de segurança: física, lógica e humana.
• Essa porcentagem diminui para 59% quando avaliado se possuem pelo menos metade dos controles pesquisados implantados.
• A camada humana foi a que apresentou o menor índice de ferramentas/técnicas implantadas pelas empresas pelo número de controles pesquisados nesta camada.
• Independente da camada, 21 empresas possuem menos ou 60% dos controles pesquisados presentes na ISO/IEC 17799:2005.
• Existe uma baixa adequação das pequenas e médias empresas em relação às seções da norma ISO/IEC 17799:2005, o que pode demonstrar que a norma requer muitos controles que a maioria não está preocupada em implantar ou não possuem tempo ou dinheiro para isso.
ESTUDOS FUTUROSESTUDOS FUTUROS
• Recomenda-se:• aplicar a pesquisa em outros setores da economia
como empresas de: serviços ou comércio, a fim de verificar a amplitude das análises;
• uma amostra maior de empresas também poderia relevar maiores informações e possibilitar análises estatísticas mais profundas;
• verificar a causa da falta de conhecimento dos gestores em gestão da segurança da informação e TI. Haveria uma falta de interesse por parte das empresas ou dos gestores?
top related